シマンテックと Ponemon Institute は2012年5月28日、「2011年情報漏えいのコストに関する調査: 日本版」を発表した。これは、日本を本拠とする企業の情報漏えい事件・事故のコストに関するベンチマーク調査で、日本でこの調査が実施されたのは今回が初めてとなる。

調査結果から、日本における情報漏えいの主な原因は、従業員の不注意にあることが明らかになった。また、日本企業における漏えいまたは盗難コストは、レコード1件あたり1万1,011円で、2011年の情報漏えいに関する全コストの平均は2億71万9,847円。

レコードとは、情報漏えいで個人情報が漏えいした個人を識別する情報として定義される。

情報漏えい発生後の、日本企業の顧客離れ率は平均して3.5％。ただし、金融サービス、医薬品、技術などの特定の業種はさらに顧客離れの影響を受けやすく、情報漏えいコストは平均よりも高くなっている。

企業の40％が、情報漏えいの根本原因は不注意で、また、33％の企業が悪質な内部関係者または内部の犯罪者を原因に挙げ、27％の企業が IT とビジネスプロセスの不備を原因に挙げている。

事業面での損失コストは平均7,505万7,636円で、これらのコストは異常な顧客離れ（業界または企業の平均的な顧客離れよりも高率）、顧客獲得活動の増加、評判の失墜、業務上の信用低下に関連する。

情報漏えいから30日以内に被害者に通知する企業は、侵害された情報1件につき、平均して3,999 円コストを削減できる可能性があるそうだ。また、企業内に情報保護の全責任を担う CISO がいる場合、情報1件当たり2,185円軽減できる可能性があるという。

情報漏えいの原因や特定の条件も、全体的なコスト増加につながる場合があり、この調査の対象企業の場合、第三者が引き起こした情報漏えい、初めての情報漏えい、およびデバイスの紛失または盗難の場合に、平均して情報漏えいコストが高くなった。

検出およびエスカレーションのコストは平均6,202万2,906円で、これらのコストは、漏えい検出と発生経緯を見極める活動に関連する。これが増加するということは、企業が情報漏えい検出と調査能力を改善するために、どのようなプロセスや技術が必要かを評価しなければならないことを示唆している。

通知コストは、情報漏えいの平均コスト中で最も小さい要素で、保護対象の情報漏えいを特定期間内に適切な人に報告するためにとる手段。漏えい被害者に通知するコストは、平均で737万8,401円。